Moin Moin!

Noch mal die Frage: Gegen *was* genau willst du überhaupt absichern?

Aus einiger Erfahrung im Umgang mit 5-Sekunden-Experten, die schon einmal irgendwo aufgeschnappt haben, dass es sowas wie Verschlüsselung, SSL, HTTPS gibt: Es ist sch...egal, ob die Verschlüsselung irgendetwas bewirkt, die Sicherheit des Gesamtsystems auch nur um Prozentbruchteile anhebt, Hauptsache "es ist verschlüsselt". Das gibt ein schönes warmes Gefühl im Bauch und so lange kein böser Mensch dieses Kartenaus anpustet, ist ja auch alles in Ordnung.

Technisch UND wirtschaftlich ist diese Frickelei mit JS natürlich völliger Unsinn.

Technisch scheitert es schon daran, dass sich der Server nicht sauber identifizieren kann (im Gegensatz zu HTTPS). Weitere Probleme wurden schon angesprochen.

Wirtschaftlich ist es völlig Unsinn, mehr Kosten für die Arbeitszeit zu investieren, das Rad komplett neu zu erfinden, als ein Hosting-Angebot mit HTTPS-fähigem Server und ein Zertifikat für die geplante Projektlaufzeit kostet. Sagen wir mal ganz großzügig 500 Euro für beides zusammen. Geteilt durch einen Stundensatz, bei dem man ohne Hartz IV auskommt, sagen wir mal 100 €, sind das 5 Stunden. In der Zeit baut und dokumentiert niemand ein auch nur ansatzweise ernstzunehmendes Verschlüsselungssystem.

HTTPS. Punkt. Ende. Wenn das Hosting-Paket das nicht kann, upgraden. Wenn der Hoster das nicht kann, Hoster wechseln.

Alexander